Sicherheitszertifikate
Name des Zertifikats
ISO/IEC 27001:2013 Zertifikat
Weitere Details zum Zertifikat hinsichtlich Prüfumfang, Ausprägungen, Erweiterungen, etc.
Datenschutz
Geografischer Standort des Rechenzentrums
Datenschutzzertifizierung
Weitere Details zum Zertifikat hinsichtlich Prüfumfang, Ausprägungen, Erweiterungen etc.
Zertifizierung des Rechenzentrums und der technischen Infrastruktur
Weitere Details zum Zertifikat hinsichtlich Prüfumfang, Ausprägungen, Erweiterungen etc.
Audits
Durchführung von Audits auf Antrag durch den Anwender
Ja
Verfügbarkeit
Zugesicherte Ende-zu-Ende Service-Verfügbarkeit in Prozent / Jahr
Die Verfügbarkeitsklasse 3 ist Standard. Verfügbarkeitsklasse 4 ist individuell vereinbar, ebenso ist die Verfügbarkeitsklasse 5 individuell vereinbar.
Maximale Downtime in Stunden
43:48 Minuten/Monat oder 8:45:58 Stunden/Jahr bis 26,3 Sekunden/Monat oder 5:16 Minuten/Jahr
Wie wird die rasche Wiederherstellung der Verfügbarkeit der Kundendaten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall garantiert?
Es existieren Wiederanlaufpläne für die Wiederherstellung der Hardware. Die Kundendaten werden aus regelmäßigen Backups wiederhergestellt. Backuppläne aller zu sichernden Systeme sind vorhanden.
Support
Garantierte Antwortzeit des Kunden-Supports
1 Arbeitstag
Garantierte Antwortzeit des Kunden-Supports bezüglich kritischer Anfragen
4 Stunden
Was ist die durchschnittliche Zeit bis zur Problemlösung bezüglich geringfügiger Geschäftsbeeinträchtigungen?
< 1 Arbeitstag
Was ist die durchschnittliche Zeit bis zur Problemlösung bezüglich erheblicher Geschäftsbeeinträchtigungen
< 1 Arbeitstag
Verfügbarkeit des Kunden-Supports
24/7
Beschreibung der Supportleistungen
Die Supportleistungen von VegaSystems beinhalten eine Vielzahl verschiedener Services, diese werden individuell mit dem Kunden vereinbart und sind auf die Kundenanforderungen abgestimmt. Die Spannweite der Supportleistungen reicht dabei von einem Basis-Monitoring bis zum Full Mananged Service.
Standard-Leistungen:
Server Wartung und Patch Management
Incident Management
2nd und 3rd Level Support
Application Support
Intrusion Detection & Monitoring
Full Service Management
Gibt es eine vollumfängliche Benutzerdokumentation?
Es ist eine vollumfängliche und aktuelle Dokumentation verfügbar.
Gibt es eine vollumfängliche Systemdokumentation?
Es ist eine vollumfängliche und aktuelle Systemdokumentation vorhanden.
Werden Trainings angeboten?
Ja
Angabe von Trainingspartnern
Nach Anforderung des Kunden.
Auditierbarkeit
Ist es möglich, dass Audits vom Anwender zu Arbeitsprozessen und organisatorischen Abläufen in Bezug auf Datenschutz- und Sicherheit durchgeführt werden?
Durch den Anwender selbst; Durch Dritte;
Besteht die Möglichkeit der Durchführung von Audits auf Antrag durch den Anwender?
Ja
Welche Audits wurden bereits durchgeführt?
ISO27001 / DSGVO /AV Verträge
Serviceverfügbarkeit
Wird die Verfügbarkeit und der Zugang der Daten sowie die rasche Wiederherstellung bei einem physischen oder technischen Zwischenfall vertraglich zugesichert?
Ja
Backups
Beschreibung der Backup-Optionen
Es existieren frei wählbare Backupintervalle, zudem sogar Sicherungen in verschiedenen Brandabschnitten, Sicherungen an anderen Standorten, redundante Online-Sicherungen sowie Offline-Backups in Datenschutztresoren. Individuelle Backup-Optionen sowie Vorhaltezeiten werden mit dem Kunden erarbeitet. Die Häufigkeit der Backups, sowie die Vorhaltezeit kann hierbei individuell durch den Kunden bestimmt und beantragt werden.
Wie wird sichergestellt, dass die Anforderungen zur Wahrung der Vertraulichkeit sich auch auf die Backups erstreckt?
Datenträger und Speichermedien für Backupssysteme unterliegen Zugangsbeschränkungen mit klaren Verantwortlichkeiten. Es gelten die gleichen hohen Sicherheits- und Vertraulichkeitsbestimmungen, wie für alle Daten.
Service Level Agreements
Sind Service-Level-Agreements Bestandteil des Vertrags?
Ja
Kann die Einhaltung der SLAs vom Kunden überprüft werden?
Ja
Beschreibung der SLAs und Prüfverfahren
Internes und externes Monitoring der Verfügbarkeit, SLA Monitoring TicketSystem inkl. Reporting
Sind die Rechtsfolgen bei Verstoß gegen die SLAs im Vertrag beschrieben?
Ja, in den AGB
Wird vertraglich eine dauerhafte Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung zugesichert?
Ja
Wird die Verfügbarkeit und der Zugang der Daten sowie die rasche Wiederherstellung bei einem physischen oder technischen Zwischenfall vertraglich zugesichert?
Ja
Management von Sicherheitsvorfällen
Beschreibung des Prozesses zur Meldung von Datenpannen an den Auftraggeber
Sollte Verletzung des Schutzes personenbezogener Daten bekannt werden, wird der Auftraggeber unverzüglich durch den Kundenservice kontaktiert. Siehe ISMS der ISO27001 A17 BCM + AG Richtlinie Kontakt Kunde.
Verschlüsselung
Welche Verschlüsselungstechniken zur Verschlüsselung der Datenübertragung und -Speicherung können angewendet werden?
TLS, HTTPS, SSL, S/MIME , PGP
Es dürfen kryptographische Verfahren verwendet werden, deren Sicherheit nach aktuellem Kenntnisstand der Fachwelt als ausreichend für den jeweiligen Einsatzzweck und der jeweiligen Einsatzdauer zu bewerten sind. (Starke Verschlüsselung nach Stand der Technik)
Optionen für das Key-Management
Folgende Optionen:
Encryption-Keys werden durch den Anbieter verwaltet;
Encrpytion-Keys werden durch den Kunden verwaltet;
Encryption-Keys können durch einen externen Service verwaltet werden.
Identity- und Accessmanagement
Welches Rechte- und Rollenkonzept wird angewendet?
Es wird ein unternehmensweites Rechte - und Rollenkonzept angewendet.
Technische und organisatorische Maßnahmen
Wie erfolgt die angemessene Umsetzung der technischen und organisatorischen Maßnahmen laut DSGVO?
Umsetzung erfolgt durch schriftlichen Vertrag zur Auftragsdatenvereinbarung gem. Art. 28 DSGVO
Weitere Details zu den umgesetzten technischen und organisatorischen Maßnahmen
Die umgesetzten technischen und organisatorischen Maßnahmen sind im Detail für unsere Kunden zu jeder Zeit über das Kundencenter abrufbar. Die Umsetzung wird durch den Datenschutzbeauftragten und die externe Auditierung nach ISO 27001 überwacht. Siehe Anlage "TOM"
Formale Datenschutzanforderungen
Werden die durch die EU-DSGVO vorgeschriebenen Formalanforderungen erfüllt?
Maßnahmen zur Erfüllung sind im Vertrag dokumentiert
Wird ein ADV-Vertrag bzw. Rechtsakt basierend auf den EU-DSGVO Anforderungen mit dem Kunden vereinbart?
Ein schriftlicher/elektronischer Vertrag wird gemäß Art.28 DSGVO angeboten.
Wird vertraglich Pseudonymisierung und/oder Verschlüsselung personenbezogener Daten zugesichert?
Ja
Wird vertraglich die Unterstützung bei einer Datenschutzfolgeabschätzung (DFA) zugesagt sofern diese für den Auftraggeber notwendig ist? (z. B. "Datenverarbeitung in großem Umfang", "Datentransfer außerhalb der EU" etc.)
Ja
Wird vertraglich die Umsetzung der Betroffenenrechte zugesichert?
Ja
Wird vertraglich die Löschung der Daten inkl. Links auf die betreffenden Daten und Datenkopien in der Cloud zugesichert?
Ja
Wird im ADV-Vertrag eine Angabe des Auftraggebers zur Art der personenbezogenen Daten sowie die Kategorien der betroffenen Personen abgefragt?
Ja, bei individuellen Verträgen.
Nachweispflichten
Welche der folgenden Nachweise können mit geeigneten Mitteln gemäß dem ADV-Vertrag dem Auftragsgeber zur Überprüfung zur Verfügung gestellt werden?
Zertifikat zu Datenschutz und/oder Informationssicherheit (z. B. ISO 27001); Durchführung eines Selbstaudits;
Ist ein effizientes Management der Informationssicherheit gewährleistet, z.B. durch Zertifizierung nach ISO 27001/ IT-Grundschutz?
Zertifiziert und regelmäßig überprüft
Weitere Details zum Vorgehen im IT-Sicherheitsmanagement.
Zertifiziertes ISMS nach ISO/IEC27001:2013 A1: Der Anwendungsbereich des Informationssicherheitsmanagements (ISMS) umfasst Rechenzentrum-, Cloud- und Carrierdienste, Managed- Service, sowie der Betrieb von Rechenzentren für IT- und Kommunikationsplattformen.
Wird ein Verzeichnis zu den vom Kunden in Auftrag gegebenen Verarbeitungstätigkeiten basierend auf Art. 30 EU-DSGVO erstellt?
Ja, mittels DSGVO Tool 2B Advice Prime
Umsetzung der Betroffenheitsrechte
Wie wird sichergestellt, dass die Anforderungen aus der DSGVO zur Umsetzung der Betroffenheitsrechte, wie z.B. das Löschen von personenbezogenen Daten gewährleistet werden können?
Damit auf die Anfragen eines Betroffenen angemessen reagiert werden kann, hat VegaSystems definierte Prozesse zur Wahrnehmung der Betroffenenrechte implementiert. Diese sind in der Sicherheitsrichtlinie beschrieben. Datenanforderungen werden im 4-Augen Prizip (intern / externer DSB) beantwortet und dokumentiert. Anfragen werden mittels Workflow in der Software 2BAdvice PRIME bearbeitet und kontrolliert / dokumentiert.
Wie wird sichergestellt, dass bei Vertragsende nicht nur die Daten gelöscht werden, sondern auch Links auf die betreffenden Daten und Datenkopien in der Cloud?
Bei der Nutzung der Managed Cloud von VegaSystems werden bei Vertragsbeendigung, entsprechend der ISO27001 dokumentierten Prozesse, die Daten anhand von vordinfinierten Workflows gelöscht. Die Kontrolle des vollständigen Ablaufs erfolgt mittels Aufgabenmanagement innerhalb des ERP Systems StepsIT.
Wird eine durchgängige Mandantentrennung gewährleistet?
Die Mandantentrennung wird gewährleistet
Wie erfolgt die Mandantentrennung?
Vollständige Containerisierung, Docker, Kubernetes. Netzwerktrennung und Segmentierung über VLAN Management, IDS und Firewaling. Cloud Hosting ohne shared Components, Datensicherung über separate encrypted container.
Vollständige Umsetzung des Konzeptes: Ein Kunde pro Container.